Новая опасная уязвимость ShellShock позволяет атаковать множество устройств, от смартфонов до промышленных серверов
Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни — смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen соответственно. Читать дальше →
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen соответственно. Читать дальше →
Источник: Хабрахабр
Похожие новости
- Как я пилотировала Kaspersky NGFW и что из этого вышло
- Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании
- Миллион IP против одного GPT-5: история одной DDoS-атаки
- Опыт цифровизации службы безопасности банка. Единая IT-экосистема на базе BPMS
- Сервис DashaMail обновил функционал аннотаций в GMail
- Вредные советы по автоматизации
- Кем работать в IT в 2025: сетевой инженер в информационной безопасности
- [Перевод] Как найти исходный IP любого веб-сайта за WAF
- Приоритизация уязвимостей с EPSS в кибербезопасности
- Безопасность приложений: инструменты и практики для Java-разработчиков